Im Rahmen einer von der Ethereum Foundation finanzierten Sicherheitsinitiative wurden etwa 100 mutmaßliche nordkoreanische IT-Mitarbeiter entdeckt, die in Web3-Projekten tätig sind. Das sechsmonatige Projekt, das oft als Teil der Sicherheitsinitiative „ETH Rangers“ bezeichnet wird, konzentrierte sich darauf, Wallet-Aktivitäten, Entwicklerkonten und Einstellungstrends im gesamten Ökosystem zu verfolgen.
Forscher sagen, dass die Agenten fiktive Identitäten nutzten und sich als Remote-Ingenieure und Entwickler ausgaben. Anstatt auf direkte Hacks zu setzen, sollen sie über normale Einstellungskanäle eingedrungen sein und schließlich in etwa 53 Web3- und Krypto-Projekten gelandet sein.
Wie die Ermittler die Agenten mit Nordkorea in Verbindung brachten
Das Programm kombinierte On-Chain-Analysen mit Off-Chain-Informationen. Die Ermittler verfolgten Zahlungsströme auf Ethereum und anderen Netzwerken und glichen diese dann mit wiederverwendeten GitHub-Handles, LinkedIn-ähnlichen Profilen und Lebenslaufvorlagen ab, die bereits in früheren Fällen aus der DVRK aufgetaucht waren.
In mehreren Fällen markierte das Team verdächtige GitHub-Mitwirkende, die Code nach ähnlichen Mustern in mehrere Projekte hochgeladen hatten. Das Ketman-Projekt, das unter demselben Dach finanziert wurde, entwickelte ein Open-Source-Tool, um ungewöhnliche GitHub-Aktivitäten im Zusammenhang mit diesen Netzwerken von Mitarbeitern zu erkennen.
Laut Zusammenfassungen, die an Medien und Partner im Ökosystem weitergegeben wurden, alarmierte das Programm daraufhin die betroffenen Teams unter Ausschluss der Öffentlichkeit. Einige Projekte reagierten darauf mit der Sperrung des Zugangs, dem Wechseln von Schlüsseln und in einigen Fällen mit dem Einfrieren von Geldern, die die Ermittler mit den Agenten in Verbindung brachten.
Warum Nordkorea Krypto-Jobs ins Visier nimmt
Die Ergebnisse stimmen mit umfassenderen Untersuchungen zu Nordkoreas Programmen für IT-Fernarbeiter überein, die laut Behördenangaben jährlich Hunderte Millionen Dollar einbringen. Im Rahmen dieser Programme werden Entwickler in ausländische Unternehmen vermittelt, wo sie technischen Zugriff erhalten, Gehälter verdienen und manchmal dabei helfen, gestohlene Kryptowährungen zu verschieben oder zu waschen.
Vermittler wandeln Kundenzahlungen in Kryptowährung um und leiten sie nach Nordkorea zurück , wie eine aktuelle Untersuchung von Chainalysis und eine separate Sanktionsmaßnahme des US-Finanzministeriums zeigen. Laut Behördenangaben finanziert das Geld neben Raketen- und Waffenprojekten auch Ransomware und andere Hackerangriffe.
Im Gegensatz zu direkten Exploits versteckt sich diese Methode hinter normalen Geschäftsprozessen. Die Akteure nutzen gestohlene oder gemietete Identitäten, bestehen Online-Vorstellungsgespräche und mischen sich dann in globale Entwicklerteams ein, bis eine Untersuchung sie aufdeckt.
Das von Ethereum unterstützte Programm unterstreicht einen Wandel in der Art und Weise, wie Web3 über Sicherheit nachdenken muss. Es geht nicht mehr nur um Fehler in Smart Contracts und Protokoll-Exploits. Es geht auch darum, wer den Code schreibt und die Infrastruktur betreibt.
Ermittler empfehlen strengere KYC- und Hintergrundüberprüfungen für technische Fernmitarbeiter in sensiblen Positionen. Sie fordern Projekte außerdem dringend auf, das Verhalten von Mitwirkenden zu überwachen, ungewöhnliche Zahlungswege nachzuverfolgen und mit Analysefirmen zusammenzuarbeiten, wenn das Wallet-Verhalten verdächtig erscheint.
WEITERLESEN: Celestia-Kurs durchbricht wichtigen Widerstand, aber RSI signalisiert Rückgangsrisiko
